我有一个运行Apache2的Ubnutu 12.04服务器,configuration为反向代理。 Apache已进一步configuration为通过LDAP进行基本身份validation。 一切工作正常,除了performance有点滞后。 LDAPauthentication指令是: <Location /> AuthType Basic AuthBasicProvider ldap AuthName "Secure Intranet" AuthLDAPURL ldaps://virt-ldap.mylan.int:636/ou=MyCorp,dc=mylan,dc=int AuthzLDAPAuthoritative on AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off Require ldap-group cn=development,ou=groups,ou=MyCorp,dc=mylan,dc=int </Location> 经过检查,我注意到,Apache的每一个请求都会返回到我的OpenLDAP服务器,为特定用户运行search/绑定。 根据代理后面站点的HTML,一些请求(例如JIRA)可能导致通过LAN的10或15个search/绑定LDAP调用。 我知道这一点,因为我在浏览时拖拽OpenLDAP日志。 哎呀! 根据Apache2的ldap文档 ,默认情况下,mod_ldap应该caching这些东西。 考虑到文档可能是错误的,我在ldap.conf中添加了这些指令: LDAPSharedCacheSize 500000 LDAPCacheEntries 1024 LDAPCacheTTL 600 LDAPOpCacheEntries 1024 LDAPOpCacheTTL 600 但是没有什么区别。 编辑: 在服务器上使用lynx访问https://localhost/ldap-status返回了以下内容: LDAP Cache Information Cache Name Entries Avg. Chain Len. […]
我有一台Windows 2008 Server(Base2)机器。 在服务器pipe理器>angular色,我可以看到: 1. Active Directory域服务 2. DNS服务器 3. Active Directory证书服务。 在“Active Directory证书服务”>“mydomain”>“颁发的证书”下,我看到列出的证书。 如果我打开这个证书,它的目的就是“私钥存档” 我想让我的Active Directory在SSL(端口636)中工作。 当我使用ldp.exe(一个ldap客户端),连接到端口636启用SSLcheckbox,我得到一个错误('无法打开连接'),这对于默认的389端口工作正常。 我是Windows服务器pipe理/证书的新手。 还有什么我需要安装?
我们通过LDAP处理程序将应用程序集成到Active Directory组中,我们需要能够区分来自Microsoft Exchange邮件分发列表和其余部分的AD组, 因此我们需要一个LDAPfilter来处理这些LDAP处理程序只select从Exchange列表中创build的AD组 …到目前为止,我们还没有能够通过filter来find如何做到这一点。 原因在于我们希望能够将用户组的控制权委托给应用程序的最终用户,以便他们能够更好地利用组,因为大量的邮件分发列表是在每个项目,团队或function组的基础上,这些标准使应用程序很有意义。 我们不能列出所有的用户组,因为他们中的大多数是不相关的,我们有他们的数量,所以我们不想污染应用程序的数据库。
我(我的公司)运行一个集成了几个entreprisey级软件的web服务。 他们大多数提供不同types的身份validation,但都提供至lessLDAP。 我想知道是否将我的应用程序用户直接存储在LDAP目录中是一个好主意。 这样,我使用的所有应用程序都可以依靠它来进行身份validation。 我知道LDAP本身不是一个数据库,但它是一个数据存储。 我也意识到没有任何约束,因此删除LDAP目录上的用户将不会对我的实际数据做任何事情,但是这种情况下将被处理一个额外的进程。 我的主要问题是:是否有任何理由,我不应该使用LDAP作为我的用户数据库?
所以我试图把一些ACI添加到我的OpenLDAP系统(托pipe在CentOS 6上)。 我读过别人怎么把他们的ACI放在bdb里 olcAccess:attrs = userPassword,shadowLastChange by dn =“cn = manager,dc = bromosapien,dc = net”由匿名authentication olcAccess:通过*读取到dn.base =“” olcAccess:to * by dn =“cn = manager,dc = bromosapien,dc = net”write by * read 但是,我想避免这种情况,只是允许从容器中发生密码更改(至less避免使用目录pipe理器)。 我从他们的angular度读到这样做的人: dn:ou =人,dc = bromosapien,dc = net changetype:修改 加:aci aci:(targetattr =“userpassword || telephonenumber”)(version 3.0; acl“Allow self entry modification”; allow(write)(userdn =“ldap:/// self”);) 问题是,试图添加它,我得到了这个。 #ldapadd […]
你好,好人! 作为Linux世界的新手,我已经学会了足够的学习,运行一个运行CentOS Linux Distro的ClearOS 5.2服务器。 此框用作我的主域控制器,LDAP服务器和OpenVPN服务器以及所有相关服务(文件共享等)。 一切运作良好,除了最近我已经注意到以下几点: 我在服务器重启时看到以下两行: Sep 30 02:02:23 server1 dbus-daemon: nss_ldap: failed to bind to LDAP server ldap://localhost: Can't contact LDAP server Sep 30 02:02:23 server1 dbus-daemon: nss_ldap: could not search LDAP server – Server is unavailable 使用htop ,我看到几个slapd实例同时运行(见附图): 我在/ var / log / messages中也看到以下两行: Sep 30 02:02:32 server1 dbus-daemon: nss_ldap: failed […]
我有两个节点,通过networking连接。 一个运行一个LDAP服务器,两个节点都使用它来进行身份validation 一个是shostakovich,另一个是rachmaninoff。 每个用户只能login一个节点 – 我们会说bob在rachmaninoff上,而jim在shostakovich上。 现在,我已经configuration了sendmail,以便传入邮件到一个完整的地址(例如[email protected])去shostakovich并与ldap检查,以决定它最终路由到哪个节点。 这工作正常。 但是,问题是与本地邮件。 如果我在shostakovich,我想能够发送邮件给鲍勃,我可以做[email protected],一切工作正常。 但是,如果我发送邮件只是为了bob,因为它是一个本地地址,它不会被LDAP检查,并在shostakovich(作为一个有效的用户,因为nsswitchvalidation用户对ldapvalidation用户)交付给bob。 我怎么能得到似乎要去本地用户的邮件,通过SMTP并检查我的LDAP数据库的路由决定?
我得到这个错误后(我认为是)成功的LDAP身份validation: No remote address supplied to OpenVPN LDAP Plugin (OPENVPN_PLUGIN_CLIENT_CONNECT). 这个错误是什么意思? 从系统日志: Jan 28 13:57:58 vmVPN ovpn-server[2774]: MULTI: multi_create_instance called Jan 28 13:57:58 vmVPN ovpn-server[2774]: 184.151.61.191:58231 Re-using SSL/TLS context Jan 28 13:57:58 vmVPN ovpn-server[2774]: 184.151.61.191:58231 Control Channel MTU parms [ L:1573 D:138 EF:38 EB:0 ET:0 EL:0 ] Jan 28 13:57:58 vmVPN ovpn-server[2774]: 184.151.61.191:58231 Data Channel […]
我们正在运行Linux 2.6.32-431.3.1.el6.x86_64内核,并在/ var / log / messages中定期看到我们的用户空间服务器上显示的以下消息。 当消息出现时,我们也有用户指出他们无法访问networking驱动器空间。 Feb 6 20:10:40 <server_name> smbd[15502]: failed to bind to server ldap://<server-ip> with dn="cn=user,dc=some_domain,dc=some_domain,dc=some-domain" Error: Can't contact LDAP server Feb 6 20:10:40 <server_name> smbd[15502]: #011(unknown) Feb 6 20:10:41 <server_name> smbd[15503]: [2013/11/05 20:10:41.146650, 0] lib/smbldap.c:1225(smbldap_connect_system) Feb 6 20:10:41 <server_name> smbd[15503]: failed to bind to server ldap://<server-ip> with dn="cn=user,dc=some_domain,dc=some_domain,dc=some-domain" Error: […]
执行LDAP查询时,我局域网上的两个不同的Linux服务器(CentOS和Ubuntu)无法看到AD组的某些成员。 我们正在设置一个可以使用LDAP进行authentication的软件设备。 为了限制可以访问设备的内部用户的数量,我在AD创build了一个“文件传输”组,并为其添加了8个用户。 我曾尝试使用CentOS 6.5和Ubuntu 12.04.4执行以下LDAP查询: ldapsearch \ "(memberof=CN=FileTransfer,OU=Security Groups,DC=domain,DC=local)" \ dn -x -W -D 'cn=ldapquery,ou=user accounts,dc=domain,dc=local' -LLL 结果如下: dn: CN=Eva ,OU=User Accounts,DC=domain,DC=Local dn: CN=Simon ,OU=User Accounts,DC=domain,DC=Local dn: CN=Eric ,OU=User Accounts,DC=domain,DC=Local dn: CN=Ronald ,OU=User Accounts,DC=domain,DC=Local # refldap://ForestDnsZones.domain.Local/DC=ForestDnsZones,DC=domain,DC=Local # refldap://DomainDnsZones.domain.Local/DC=DomainDnsZones,DC=domain,DC=Local # refldap://domain.Local/CN=Configuration,DC=domain,DC=Local AD组包含8个成员,但LDAP查询仅返回4个成员。 我删除并重新创build了该组。 没有快乐。 我已经为该组添加了新的testing用户帐户,即使在周末结束之后,他们也不会显示出来。 我知道该域正在同步,因为只要我删除了一个“可见”用户,LDAP查询就反映了这两个Linux服务器上的更改。 任何人都可以解释这个奇怪吗?